Lazarus Group нашла новый способ проникновения в системы жертв через обычные рабочие звонки. Об этом рассказал специалист по кибербезопасности Мауро Элдрич.
Lazarus Group нашла новый способ проникновения в системы жертв через обычные рабочие звонки. Об этом рассказал специалист по кибербезопасности Мауро Элдрич.
#Lazarus is back with a new macOS malware kit. Made up of multiple Mach-O binaries, we named it “Mach-O Man”. It is being distributed via #ClickFix in the crypto ecosystem to steal secrets. Read my full article for ANY RUN below.#DPRK #Malware https://t.co/9yDesUCeMD pic.twitter.com/XD5w4kn0gh
— Mauro Eldritch (@MauroEldritch) April 21, 2026Злоумышленники из Северной Кореи запустили кампанию с использованием модульного macOS-арсенала Mach-O Man. Его создала другая северокорейская хакерская группировка Famous Chollima.
Эти инструменты представляют собой нативные Mach-O бинарные файлы, адаптированные для экосистемы Apple, в которой работают многие крипто- и финтех-компании.
Mach-O Man использует метод доставки ClickFix — технику социальной инженерии, когда жертву просят вставить команду в терминал для «исправления проблемы с подключением».
Элдрич пояснил, что хакеры отправляют пользователям «срочное» приглашение на встречу в Zoom, Microsoft Teams или Google Meet через Telegram.
Пример сообщения от хакеров в Telegram. Источник: Any.run.
Ссылка ведет на фишинговый сайт, который инструктирует скопировать и вставить простую команду в терминал Mac. Выполнив это, жертва предоставляет прямой доступ к корпоративным системам, SaaS-платформам и финансовым ресурсам.
Чаще всего о взломе становится известно поздно, когда предотвратить ущерб уже невозможно.
Исследователь Владимир С. отметил, что существует несколько вариаций описанной Элдричом атаки.
I also once seen a slightly different variation of the attack where the attackers hijacked the DeFi project’s domain and replaced the website with a fake message from Cloudflare asking users to enter a command to grant access. A lot of people fell for it.I also saw an attack in…
— Vladimir S. Officer's Notes (@officer_secret) April 21, 2026Зафиксированы случаи, когда хакеры Lazarus захватывали домены DeFi-проектов с помощью нового арсенала, заменяя их сайты поддельным сообщением от Cloudflare с просьбой ввести команду для предоставления доступа.
«Что делает Lazarus особенно опасным прямо сейчас — это уровень их активности. Kelp, Drift и теперь новый macOS-арсенал — все в течение одного месяца. Это не случайные взломы, а государственная финансовая операция, работающая в масштабе и темпе, характерном для институций», — отметила старшая исследовательница блокчейн-безопасности CertiK Натали Ньюсон.
Напомним, в апреле стипендиат Ethereum Foundation отыскал 100 северокорейских IT-агентов в Web3-компаниях.
Ранее сеть специалистов из КНДР в криптоиндустрии также обнаружил ончейн-детектив.
JOIN
